banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận thâm nhập Blended, Targeted Attack in Mexico: Now a DNS Changer and a Botnet  XML
  [Document]   Blended, Targeted Attack in Mexico: Now a DNS Changer and a Botnet 25/07/2009 05:24:38 (+0700) | #1 | 187464
[Avatar]
RECON
Member

[Minus]    0    [Plus]
Joined: 16/06/2009 19:10:08
Messages: 6
Offline
[Profile] [PM]
Điều phối viên cho virus Trend Micro Mỹ Latin Jose Lopez Tello trong thời gian gần đây phát hiện một phần mềm độc hại tấn công rất thú vị mà có vẻ (lần đầu tiên blush) liên quan đến những trang trước Banamex lừa đảo e-mail thông báo cuối tháng một và trước đó trong tháng này.

Tương tự với những cuộc tấn công vừa qua, phần mềm độc hại này nhằm mục đích lấy cắp tiền của khách hàng mục tiêu của Banamex, các Ngân hàng điện tử lớn nhất tại Mê-hi-cô.

Tuy nhiên, thay vì bằng cách sử dụng DNS ngộ độc như là phương pháp tấn công trong quá khứ, phần mềm độc hại này sử dụng một tập lệnh để thay đổi các thiết lập DNS của người sử dụng, và cũng có thể cài đặt một botnet khách hàng được lưu trữ trên máy chủ tại một máy chủ IRC ở một nhà cung cấp dịch vụ lưu trữ Mỹ.

Trên cơ sở phân tích của Tello, các nhiễm trùng thường là chuỗi khởi xướng bởi một giả chào eCard rằng một người dùng nhận được qua email. ECard này có chứa một liên kết, mà khi được tải về các tệp tin độc hại Gusanito.exe.



Trend Micro phát hiện tập tin này như BKDR_VBBOT.AE. Sự khác biệt giữa các cuộc tấn công mới này và các cuộc tấn công này là trước đó, khoảng thời gian này, các độc hại thực thi tải về không bị chất độc của người sử dụng máy chủ tập tin hay địa phương, bộ định tuyến của DNS bảng. Thay vào đó, nó thay đổi các DNS bị ảnh hưởng từ các máy tính của người dùng bằng cách sử dụng các tập lệnh đơn giản sau đây:


dns tên mã nguồn = = tĩnh addr = [địa chỉ IP] đăng ký = PRIMARY

Vì vậy, khi người dùng cố gắng truy cập www.banamex.com, ông được chuyển đến một trang web lừa đảo (trong đó là thực sự nằm tại cùng một máy chủ DNS giả mạo).

Các mã số khách hàng Botnet (BKDR_VBBOT.AE) cũng mở ra một IRC kết nối vào nào được nêu ra khác, hệ khác nhau dựa trên máy chủ và các kênh để chờ lệnh từ các botmaster, là nhằm thực sự để gửi chi tiết của cùng một, ban đầu, không có thật eCard chào mừng email.



Như các văn bản này, có hơn 650 nguồn ~ đã được kết nối với botnet này C & C (Command & Control Server) và được gửi cho hầu hết các lẽ ra tấn giả chào Ecards tại thời điểm này rất. "Trong thực tế, bạn có thể xem danh sách tất cả các email đó sẽ được nhắm mục tiêu," nói Tello.

Các liên kết độc hại đã được gửi đến Trend Micro an ninh nội dung cho các đội xử lý và ngăn chặn. Thích hợp việc thi hành pháp luật và các nhà cung cấp nội dung cũng đã được cảnh báo này.

(Xin cám ơn Paul Ferguson bổ sung cho nền tảng kỹ thuật.)

-Cập nhật: June 29, 2008 --

BKDR_VBBOT.AE đã được đổi tên thành để WORM_KELVIR.EI.
___ [COLOR="Red"][FONT="System"][SIZE="6"]Hack To Learn,Don't Learn To Hack[/SIZE][/FONT][/COLOR] _____
Rapid Leech
[URL="http://ser1.ongkinhviet.com"][COLOR="Black"]http://ser1.ongkinhviet.com[/COLOR][/URL]
[URL="http://ser2.ongkinhviet.com"][CO
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|